Для каких типов компаний по вашему мнению фишинг наиболее опасен сдо ответы

Практически каждое нарушение данных и все онлайн-атаки сегодня включают в себя какую-либо фишинговую попытку кражи паролей, запуска мошеннических транзакций или обмана получателя сообщения для загрузки вредоносного программного обеспечения. По данным PhishMe, в начале 2016 года 93% фишинговых писем доставлялись с помощью программ-вымогателей.

Специалисты по безопасности регулярно напоминают пользователям, что следует остерегаться фишинговых атак, но многие просто не знают, как их распознать, ведь атаки могут принимать различные формы. «Фишинговые атаки бывают разных видов, они нацелены на конкретных людей в организации, которые имеют доступ к конфиденциальным данным», — комментирует Шалаб Мохан из Area 1 Security.

Пользователи, как правило, плохо распознают действия мошенников. Согласно отчету Verizon о кибербезопасности, злоумышленник, отправивший 10 фишинговых писем, имеет 90-процентную вероятность того, что один человек попадется в ловушку. Поначалу это кажется абсурдным, но только если речь идет о пользователях из технологической отрасли, а не пользователях из сферы производства или образования. Прибавьте к этому тот факт, что не все фишинговые письма работают одинаково: некоторые из них являются обычными электронными рассылками, а другие тщательно продуманы для атаки на определенный тип людей, и становится все труднее научить пользователей соблюдать осторожность, когда сообщение кажется немного странным.

Давайте рассмотрим различные типы фишинговых атак и способы их распознавания.

Что такое фишинг

Фишинг — это массовая рассылка электронных писем. Наиболее распространенной формой фишинга является массовая рассылка, когда кто-то отправляет электронное письмо, выдавая себя за другого, и пытается обмануть получателя, предлагая выполнить действия, обычно подразумевающие вход на веб-сайт или загрузку вредоносного программного обеспечения. Атаки часто бывают основаны на подделке электронной почты, когда заголовок электронной почты, поле «От», подделывается, чтобы сообщение выглядело так, как если бы оно было отправлено тем, кому получатель доверяет.

Что может произойти, если вы все же примете фишинговое письмо за реальное?

1. Получив письмо от якобы знакомого, вы можете перейти по опасной ссылке или загрузить файл, содержащий вредоносную программу. Она может нанести заметный ущерб.
2. Если мошенники убедят вас в правдивости своей истории, не исключено, что вы захотите перевести им деньги. Так можно потерять даже крупную сумму.
3. Вы можете переслать злоумышленникам свои финансовые данные или рабочие файлы. Это приведет к потере ваших личных средств или средств компании, а следовательно, к проблемам на работе.
4. Под видом ваших знакомых мошенники могут втереться к вам в доверие и использовать все, что удастся у вас выведать, в целях вымогательства.

На что стоит обратить внимание

Насторожитесь, если увидите призыв ввести какие-либо свои данные — в самом письме, по ссылке или каким-либо иным способом. Ни одна из служб, которыми вы пользуетесь, никогда не станет запрашивать ваши данные, они уже есть в системе. А вот злоумышленники вполне могут прислать письмо, подобное представленному на экране 1.

Экран 1. Пример фишингового письма

Другой пример фишингового письма показан на экране 2. Обратите внимание на то, как составлен текст. В нем содержится прямое указание на то, что ваш профиль будет заблокирован, если вы не последуете содержащейся в письме инструкции. Это манипуляция и явный признак того, что письмо написано мошенниками.

Экран 2. Фишинговое письмо

Однако фишинговые атаки не всегда выглядят как электронное письмо с уведомлением о доставке UPS, или как предупреждающее сообщение от PayPal об истечении срока действия паролей, или электронное письмо Office 365 о квотах хранилища. Одни атаки предназначены специально для организаций и частных лиц, а другие используют иные методы помимо электронной почты.

Компрометация деловой электронной почты

Помимо массовых распространенных фишинговых кампаний, преступники атакуют ключевых лиц в отделах финансов и бухгалтерии с помощью мошеннических действий с использованием электронной почты, business email compromise (BEC) и манипуляций с электронной почтой генерального директора. Выдавая себя за финансовых чиновников и генеральных директоров, такие преступники пытаются обмануть жертв, заставляя их переводить деньги на несанкционированные счета.

Как правило, злоумышленники компрометируют учетную запись электронной почты руководителя или финансового директора, используя различные методы. Мошенник тайно отслеживает действия с электронной почтой руководителя в течение определенного периода, чтобы узнать о процессах, происходящих в компании. Фактическая атака принимает форму ложного электронного письма, которое выглядит так, как будто оно пришло из скомпрометированной учетной записи руководителя, и отправляется тому, кто является постоянным получателем подобных писем. Письмо кажется важным и срочным, и в нем требуется, чтобы получатель отправил банковский перевод на внешний или незнакомый банковский счет. Деньги в конечном итоге попадают на банковский счет злоумышленника.

По данным центра жалоб на интернет-преступления ФБР, мошеннические действия типа BEC привели к фактическим потерям в размере более 4,5 млрд долл., и они представляют собой глобальную проблему. Пример подобного письма показан на экране 3. Обратите внимание на то, что в письме указывается на высокий приоритет задачи. Это вполне может быть манипуляция, продуманная злоумышленником. Каким бы образом ни был сформулирован в письме призыв, если он предполагает выполнение действий, опасных для вашей компании или репутации, его следует игнорировать.

Экран 3. Пример атаки типа ВЕС

Помните, что опасными считаются следующие действия:

• отправка данных;
• отправка денег;
• переход по ссылке;
• открытие вложения;
• установка приложения;
• переход по ссылке на сайт с последующий регистрацией с учетной записью (вводом имени пользователя и пароля).

Проблема целевых атак

Целевые атаки с помощью фишинга, spear-phishing, — это процесс отправки электронных писем конкретным адресатам от имени якобы являющегося надежным отправителя. Цель состоит в том, чтобы заразить устройства вредоносной программой либо убедить жертву передать информацию или деньги. Фишинговые атаки начинались как мошенничество с получением денег «нигерийских принцев» в середине 1990-х годов. Сегодня они превратились в эффективные, хорошо проработанные и целенаправленные кампании.

Фишинговые направленные атаки получили свое название из-за того, что мошенники ловят случайных жертв, используя поддельную или мошенническую электронную почту в качестве приманки. Используя направленные фишинговые атаки, злоумышленники нападают на жертв и организации с высокой ценностью. Вместо того чтобы пытаться получить банковские учетные данные 1000 потребителей, мошеннику может оказаться более выгодным ориентироваться на несколько предприятий.

Направленные фишинг-атаки чрезвычайно успешны, потому что злоумышленники тратят много времени на сбор информации, специфичной для получателя, например на составление ссылки на конференцию, которую получатель мог только что посетить, или отправку вредоносного вложения, где в имени файла отражена тема, интересующая получателя.

В недавней фишинговой кампании группа 74 (также известная как Sofact, APT28, Fancy Bear) нацелилась на профессионалов в области кибербезопасности. Было написано электронное письмо, якобы связанное с конференцией Cyber Conflict U. S. conference и мероприятиями, организованными United States Military Academy Army Cyber Institute, NATO Cooperative Cyber Military Academy и NATO Cooperative Cyber Defence Centre of Excellence. Хотя CyCon — это настоящая конференция, вложение являлось документом, содержащим вредоносный макрос Visual Basic для приложений (VBA), который загружал и запускал разведывательное вредоносное программное обеспечение, называемое Seduploader.

В чем принципиальная разница между атаками фишинга и spear-phishing? В то время как обычные фишинговые кампании преследуют большое количество целей с относительно низкой результативностью, spear-phishing — атака, направленная на конкретные цели с использованием электронных писем, созданных специально для предполагаемой жертвы.

«Фишинг относится к типичным низкотехнологичным атакам, — считает Аарон Хигби, соучредитель и технический директор антифишинговой фирмы Cofense, ранее известной как PhishMe. — Злоумышленников не особенно волнует, кто их цель. Они просто используют большую сеть, пытаясь поймать как можно больше рыбы. Spear phishing — это кампания, которая целенаправленно построена с целью проникновения в одну организацию, чему предшествует изучение имен и процессов внутри компании».

Если массовый фишинг в первую очередь подразумевает применение готовых автоматических комплектов для массового сбора учетных данных с использованием поддельных страниц входа в систему для обычных банковских или почтовых служб или распространения вымогателей или шифрующих вредоносных программ, то атаки направленного фишинга являются более сложными. Некоторые целевые кампании используют документы, содержащие вредоносные программы или ссылки на сайты для кражи учетных данных, чтобы получить конфиденциальную информацию или ценную интеллектуальную собственность либо просто поставить под угрозу платежные системы. Другие применяют социальную инженерию, чтобы внедриться в процессы для небольшого количества крупных выплат с помощью одного или нескольких банковских переводов.

Поле «От» электронного письма часто подделывается, чтобы отправитель выглядел как известная организация или домен, похожий на ваш или ваших доверенных партнеров. Например, буква «о» может быть заменена цифрой «0» или буква «w» буквой «ш» из русского алфавита.

Если ранее фишинговые кампании просто содержали вредоносные документы, прикрепленные к электронному письму как есть или в виде zip-файла, то сейчас преступники усовершенствовали свои методы. Хигби объясняет, что многие вредоносные документы теперь размещаются на законных сайтах, таких как Box, Dropbox, OneDrive или Google Drive, поскольку организаторы атак знают, что они вряд ли будут заблокированы ИТ-отделом.

«Мы также встречаем фишинговые атаки, которые пытаются скомпрометировать токены API или токены сеансов, чтобы получить доступ к почтовому ящику или сайту OneDrive либо SharePoint», — уточняет эксперт.

Разведка — ключ к направленному фишингу

Векторы угроз могут начинаться с электронных писем, собранных в результате взлома данных, но их дополняют информацией, которую легко найти в Интернете. Нигерийская преступная группировка, известная как London Blue, даже использовала законные коммерческие сайты для сбора информации о финансовых директорах и других сотрудниках финансового отдела.

Социальные сети, такие как LinkedIn и Twitter, дают представление о должностях, обязанностях и профессиональных отношениях внутри организации и таким образом помогают определить, кто больше подходит в качестве мишени и кому проще подражать. Веб-сайты компании могут предоставлять информацию о процессах, поставщиках и технологиях, Facebook и Instagram — личную информацию о потенциальных целях.

«Мошенники используют справочную информацию для создания сообщения, заслуживающего доверия. Объединяя данные, полученные со страницы команды организации, профиля LinkedIn, профиля Twitter и профиля Facebook, преступник обычно может получить довольно точный портрет своей жертвы. Они могут использовать ваше имя, информацию о том, где вы работаете и с кем, о недавнем внесенном вами платеже, сведения о вашей семье и друзьях, а также любые другие личные данные», — поясняет Оз Алаше, генеральный директор платформы обучения и повышения осведомленности о кибербезопасности CybSafe.

Что такое whaling

Фишинговая атака, нацеленная на руководителей предприятия, называется whaling, поскольку украденная информация будет гораздо более ценной, чем та, что может дать обычный сотрудник. Учетные данные, принадлежащие генеральному директору, откроют куда больше, чем данные сотрудника начального уровня. Цель состоит в краже данных, информации о сотрудниках и денежных средств.

Атака типа whailing требует дополнительных исследований, потому что злоумышленнику необходимо знать, с кем общается предполагаемая жертва и какие темы обсуждает. Примерами могут служить ссылки на жалобы клиентов, судебные повестки или другая информация. Злоумышленники обычно начинают с социальной инженерии, чтобы собрать информацию о жертве и компании, прежде чем создавать фишинговое сообщение, которое будет использоваться при подобной атаке.

Spear-phishing и whaling

Фишинговые атаки, направленные на руководителей высшего звена, обычно включают в себя действия злоумышленника, который пытается выдать себя за генерального директора или такого же значимого человека в компании с целью использования служебного положения, чтобы заставить жертву совершать платежи или делиться информацией. Исследования показывают, что руководители чаще других становятся жертвами таких атак. В ходе недавнего эксперимента на Rapid7 были обмануты три четверти выбранных руководителей. Британская исследовательская благотворительная организация Wellcome Trust потеряла 1 млн долл. после того, как четыре руководителя высшего ранга ввели учетные данные на поддельном сайте.

«Руководители высшего звена чаще других сотрудников становятся объектами атак. Они испытывают давление, принимают сложные решения в ограниченный срок и, соответственно, часто страдают от того, что психологи называют смещением внимания, и могут недооценивать угрозу направленного фишинга. Они очень значимы и в то же время доступны для преступников. Потенциальные выгоды от атак на руководителей по сравнению с атаками на младших сотрудников организации оправдывают затраты на исследование и создание этих целевых электронных писем», — объясняет Алаше.

Целевые атаки, направленные на злоупотребление такими процессами, как расчет заработной платы или выставление счетов, называются компрометацией деловой электронной почты (business email compromise, BEC). Охранная фирма Agari недавно выявила примеры мошеннических схем, нацеленных на то, чтобы убедить отделы кадров изменить существующие счета для прямых выплат заработной платы на те, которые были созданы преступниками. Более распространенный пример — злоумышленники, притворяющиеся поставщиками и запрашивающие изменения в деталях выставления счетов.

Целевые атаки, включающие отправку SMS-сообщений или голосовых вызовов (smishing), следуют тем же схемам, что и атаки на основе электронной почты.

Инструменты фишинга

Атаки, основанные исключительно на социальной инженерии и бизнес-транзакциях, могут быть совершены даже с помощью простой учетной записи электронной почты от обычного поставщика без каких-либо дополнительных инструментов.

Хигби из Cofense говорит, что многие готовые схемы фишинга становятся все более успешными в функциях автоматической персонализации. Уже существуют веб-службы, которые исследуют и анализируют социальные сети, чтобы получить необходимые преступникам данные.

Почему направленный фишинг эффективен

По данным последнего отчета Symantec об угрозах безопасности в Интернете, направленный фишинг был основным фактором заражения, который использовали 71% организованных преступных групп в 2017 году. В ходе исследования Wombat State of the Phish 53% специалистов по информационным технологиям сообщили, что они сталкивались с направленным фишингом в 2017 году от одного до пяти раз в квартал.

Эффективность фишинг-атаки сводится к сочетанию как технических, так и психологических причин.

Поддельные фишинговые электронные письма довольно сложно обнаружить. Они выглядят как обычная деловая электронная корреспонденция, поэтому системам обнаружения спама действительно трудно установить, что это не подлинная электронная почта. Вы ведь не хотите, чтобы защита от спама блокировала подлинные электронные письма? Конечные пользователи разочарованы, бизнес-процессы начинают ухудшаться. Этой ситуацией и пользуются преступники.

Злоумышленники могут потратить время на создание положительной репутации IP-адресов и доменов электронной почты, некоторое время отправляя законный трафик и электронные письма, чтобы избежать блокировки.

Эффективность направленного фишинга также сводится к человеческому фактору и элементам социальной инженерии.

«Доверие является естественным, неотъемлемым и необходимым элементом формирования отношений. Именно эта наша способность чаще всего используется фишерами. Люди значительно чаще выполняют просьбы, если они исходят от доверенных лиц. Высокая степень персонализации заметно повышает надежность писем. Чем больше личной информации присутствует в электронном письме, тем больше вероятность того, что жертва поверит в подлинность электронного письма», — поясняет Алаше.

Как работает направленный фишинг

Фишинговые электронные письма имеют направленный характер и поэтому отличаются в разных организациях, однако существуют и общие тенденции, которые должны настораживать пользователей. Самый очевидный тревожный признак — неверный адрес электронной почты или адрес, похожий на ожидаемый, но немного другой. Но не стоит упускать из виду и то, что адреса электронной почты могут быть так искусно подделаны, что подлог невозможно обнаружить без тщательной проверки.

«Наиболее распространенная особенность направленного фишинга — создание ощущения срочности. Учетная запись или вложение (обычно это счет-фактура, документ об отслеживании доставки или обновленное соглашение о политике) заставляет жертву выполнить поставленную задачу незамедлительно», — комментирует Ливиу Арсен, старший аналитик по электронным угрозам в Bitdefender.

Срочность часто сопровождается нарушением принятых в компании норм, например требуется осуществить быстрые платежи без обычных проверок. В сообщении также могут использоваться эмоциональные выражения, способные вызвать симпатию или страх. Генеральный директор может написать, например, что вы подведете компанию, если не произведете срочный платеж (экран 4).

Экран 4. Попытки фишинга часто создают иллюзию срочности

Другая особенность, на которую нужно обращать внимание, — это формулировка и терминология (экран 5). Включает ли электронная почта деловую речь или выражения, которые обычно не употребляются вашими сотрудниками? Многие из столкнувшихся с поддельными письмами от имени генеральных директоров обнаружили мошенничество, обратив внимание на какие-то мелочи, достаточно тонкие детали.

Экран 5. Терминология, обычно не используемая в организации, может указывать на попытку фишинга

Часто электронные письма содержат файлы или ссылки на файлы, которые требуют включения макросов. Большинство макросов безвредны. Но так ли уж необходимо их включение, чтобы выполнить поставленную задачу?

Копии тоже эффективны

Фишинг-клонирование требует от злоумышленника создания почти идентичной копии легитимного сообщения, чтобы обмануть жертву и заставить ее думать, что это реальное сообщение. Письмо отправляется с адреса, похожего на адрес законного отправителя, и тело сообщения выглядит так же, как и предыдущее сообщение. Разница лишь в том, что вложение или ссылка в сообщении были заменены вредоносными. Злоумышленник может добавить пояснение относительно повторной отправки оригинала или обновленной версии, чтобы объяснить, почему жертва снова получила вроде бы такое же сообщение.

Подобная атака основана на ранее замеченном законном сообщении, что повышает вероятность того, что пользователи попадутся в ловушку. Злоумышленник, который уже заразил одного пользователя, может использовать эту технику против другого человека, который также получил клонированное сообщение. В другом варианте злоумышленник может создать клонированный веб-сайт с поддельным доменом, чтобы обмануть жертву.

Фишинг по телефону

Vishing означает «голосовой фишинг» и подразумевает использование телефона. Как правило, жертва получает звонок с голосовым сообщением, замаскированным под сообщение от финансового учреждения. Например, в сообщении получателя могут попросить позвонить по определенному номеру и ввести данные своей учетной записи или PIN-код в целях обеспечения безопасности. А звонок при этом осуществляется прямо злоумышленнику через службу передачи голоса по IP.

В последнее время преступники стали звонить жертвам, притворяясь сотрудниками службы технической поддержки Apple и предоставляя номер для звонка, чтобы решить «проблему безопасности». Подобно старому варианту мошенничества со службой технической поддержки Windows, эти мошенники используют в своих интересах опасения потребителей по поводу взлома их устройств.

Что такое snowshoeing

Snowshoeing, или «спам-наезд», предполагает, что злоумышленники распространяют сообщения через несколько доменов и IP-адресов. Каждый IP-адрес отправляет небольшой объем сообщений, поэтому технологии фильтрации спама на основе репутации или объема не могут сразу распознавать и блокировать вредоносные сообщения. Некоторые сообщения попадают в почтовые ящики до того, как фильтры научатся их блокировать.

Атаки типа Hailstorm работают так же, как и snowshoeing, за исключением того, что сообщения рассылаются в течение очень короткого промежутка времени. Некоторые атаки заканчиваются так же, антиспамовые инструменты захватывают и обновляют фильтры, чтобы блокировать будущие сообщения, но злоумышленники уже перешли к следующей атаке.

Научитесь распознавать различные виды фишинга

Пользователи плохо представляют себе последствия фишинг-атаки. Достаточно опытный пользователь может оценить риск щелчка по ссылке в электронном письме, поскольку это может привести к загрузке вредоносной программы или последующим мошенническим сообщениям с требованием денег. Только наиболее опытные пользователи могут оценить потенциальный ущерб от кражи учетных данных и взлома аккаунта. Этот пробел в оценке риска затрудняет понимание пользователями серьезности распознавания вредоносных сообщений. «Несмотря на продолжающиеся инвестиции, фишинговые электронные письма продолжают обходить технологии периметра для ежедневного доступа к почтовым ящикам сотрудников», — заявил Рохит Белани, соучредитель и генеральный директор PhishMe.

Организациям необходимо пересмотреть внутренние кампании по повышению осведомленности и убедиться, что сотрудникам предоставлены инструменты для распознавания различных типов атак. Важно также усилить защиту, потому что некоторые традиционные инструменты защиты электронной почты, такие как спам-фильтры, не обеспечивают достаточной защиты от некоторых типов фишинга. Например, спам-фильтры бесполезны против атак BEC.

Профилактика фишинга

Организации могут использовать как технический, так и «человеческий» контроль для снижения угрозы фишинга. Наряду со стандартными средствами контроля, такими как спам-фильтры, обнаружение вредоносных программ и антивирус, компаниям следует рассмотреть возможность проведения тестов на фишинговую симуляцию, обучения пользователей и организации установленного процесса, позволяющего сотрудникам сообщать о подозрительных электронных письмах в отдел ИТ-безопасности.

Важно иметь открытые линии связи между сотрудниками и руководством. В некоторых компаниях иерархия действительно очень важна, поэтому конечные пользователи обычно не обращаются к руководителям. Но они должны знать, что всегда могут и в определенных случаях должны это делать.

Хотя обучение и осведомленность пользователей являются основным элементом снижения риска фишинга, служба безопасности также должна участвовать в защите бизнес-процессов, чтобы ограничить возможности злоумышленников.

Например, гарантия, что платежи не будут совершены без подписи нескольких человек и нескольких этапов авторизации или что никакие реквизиты платежа не будут изменены без предварительного подтверждения по телефону или другому каналу связи, может снизить риск того, что посторонние будут выдавать себя за генерального директора или поставщика. Наличие отдельных компьютеров для задач, связанных с электронной почтой и Интернетом, а также задач по выставлению счетов-фактур, может снизить вероятность заражения компьютеров вредоносными программами, собирающими банковскую информацию.

Фишинг ещё несколько лет назад не считался особо серьёзной угрозой: для специалистов это был скорее малозначительный вид мошенничества, на который попадались только самые неопытные или, с позволения сказать, наивные пользователи. Однако в последние годы всё поменялось: фишинг приобрёл, с одной стороны, массовый, а с другой — высокотехнологический характер (об этом будет сказано ниже), и далеко не только неопытные пользователи попадаются на эти удочки. Согласно данным, полученным из нашего облачного сервиса Kaspersky Security Network, в 2012-2013 годах в прицел фишеров попали 37,3 млн. пользователей по всему миру. Тут стоит оговориться, что эта статистика учитывает только пользователей решений «Лаборатории Касперского», согласившихся на участие в Kaspersky Security Network. Но сам факт 87-процентного роста количества атак такого рода по сравнению с 2011-2012 гг. весьма показателен.

Что, вообще, такое фишинг, и чего добиваются фишеры? В большинстве случаев речь идёт о создании поддельных копий популярных сайтов, аккумулирующих персональные данные в том или ином виде. Это могут быть социальные сети, интернет-магазины, сайты банков и т.п. Мошенники стремятся заманить пользователей на такие поддельные ресурсы и тем или иным образом заставить ввести там свои логины, пароли к «настоящим» сайтам, а также, желательно, номера кредитных карт и любые другие сведения о себе. Делается это самыми разными средствами – через электронную почту и ссылки в социальных сетях, в IM-службах и так далее.

Фишинг ещё недавно казался угрозой «только для самых наивных», однако сейчас всё изменилось. И бизнес всё чаще становится объектом для подобных атак.

Конечная цель, естественно, состоит в том, чтобы мошенники получили доступ к финансовым ресурсам обманутых пользователей. На чёрном рынке, однако, весьма ходовым товаром оказываются любые персональные данные пользователей.

Приведённый ниже график, взятый из недавнего исследования экспертов «Лаборатории Касперского» «Эволюция фишинговых атак в 2011-2013 годах«, даёт наглядное представление о том, какие именно сайты злоумышленники чаще всего копируют.

По сравнению с 2011-2012 годами изменения довольно значительны. В предыдущий период на поисковики и почтовые ресурсы приходились более 40% «подделок», на этот раз — 29,89% (снижение более чем на 10%). Сайты электронных платёжных систем также стали реже копировать (снижение с 7,83% до 5,52%). В то же время, банковские сайты стали подделывать чаще — рост с 9,78% до 12,17%.

На самом деле, ключевым фактором в выборе объекта атаки является популярность ресурса: чем больше людей его посещает, и чем большее количество персональных данных он аккумулирует, даже если это не более чем пары логинов и паролей, тем выше вероятность рано или поздно случайно напороться на его копию-подделку.

На нижеприведённом графике представлены конкретные ресурсы, которые чаще всего пытались имитировать киберпреступники в 2012-2013 годах:

Логины и пароли злоумышленникам могут быть интересны сами по себе, поскольку нередко пользователи используют одни и те же реквизиты для разных учётных записей.

К сожалению, как уже сказано, фишеры становятся всё более изобретательными. Случается, что, сделав поддельную копию сайта какого-либо банка, хакеры используют Javascript для того, чтобы отображать в адресной строке легитимный адрес, в то время как на самом деле пользователь находится в ловушке. Распознать её не так-то просто (если только у пользователя не отключен Javascript, конечно).

Кроме того, мошенники могут использовать XSS-уязвимости в сайтах-мишенях, внедряя произвольный код в адресную строку (например, для того чтобы выводить пользователю поддельное окно с полями для логина и пароля).

Опаснее же всего оказываются вредоносные программы, модифицирующие файл hosts в Windows (такие как QHost или DNSChanger) и тем самым перенаправляющие пользователя на поддельные ресурсы. Как и в случае с XSS, без технических средств, позволяющих выявить присутствие этих зловредов, распознать фишинг подобного рода невозможно.

Что это может значить для бизнеса? Во-первых, необходимость использовать вышеупомянутые технические средства, обеспечивающие профилактику фишинга даже тогда, когда пользователь ничего не подозревает.

Во-вторых, необходимо, чтобы персонал был осведомлён о существовании проблемы с фишингом и возможных векторах атаки. Например, если сотрудник компании получает личным сообщением в социальной сети непонятную ссылку от кого-либо из своих френдов, ему стоит убедиться в том, что ссылка поступила именно от этого пользователя, то есть его аккаунт не взломан и не используется для рассылки вредоносных ссылок. Пользователи также должны осознавать возможные последствия успеха фишеров, а также знать, что фишинг может представлять собой лишь один из этапов целенаправленной комплексной атаки. Потери крупного бизнеса от таких атак могут составлять миллионы долларов.

Антифишинговый инструментарий присутствует и в пользовательских, и в корпоративных решениях «Лаборатории Касперского», а также в пакетах для защиты малого бизнеса (Kaspersky Small Office Security). Без средств профилактики и борьбы с фишингом говорить об эффективной защите от информационных угроз не приходится.

Опубликовано: 23 июля 2021

Фишинг – мошенническая уловка, не теряющая свою популярность у злоумышленников уже более 20 лет. Единственное, что меняется со временем – это масштабы и инфоповоды. По мере всплеска общественного интереса к той или иной теме растёт и её привлекательность для «фишеров». (В своем исследовании мы собрали ТОП-поводов 2020 года – от коронавируса до поправок в Конституцию). Чем фишинг опасен бизнесу и как минимизировать риски?

Основная причина распространённости фишинга в том, что это простой с технической точки зрения, но эффективный способ кибератаки. Никакого взлома, главное, найти психологический ключ к сознанию человека. Доверившись мошеннику, жертвы легко отдают тысячи и сотни тысяч рублей.

Ещё больше теряют из-за невнимательности сотрудников, открывших «не ту» ссылку в письме, компании. Так фишинг становится первой ступенью многоходовой атаки, его используют для «доставки» вируса в ИТ-инфраструктуру. Чтобы осуществить свой план и заразить компьютеры жертв «вирусами-шифровальщиками» и «шпионами», мошенники предлагают скачать документы, необходимые в работе, притворяются коллегами и партнерами, создают сайты с фейковыми облачными хранилищами.

Так, в сентябре прошлого года вредоносным ПО были зашифрованы около 400 исследований онкологического диспансера Свердловской области. За восстановление информации хакеры потребовали 80 тысяч рублей. Однако мошенникам не повезло: данные вовремя расшифровали и внесли обратно в базы диспансера.

Но не всем так везёт. По данным исследования компании Sophos, средние расходы бизнеса на восстановление после атаки вирусов-вымогателей в мире в годовом исчислении выросли более чем вдвое. К началу 2020 года они составляли $761 106, а год спустя — $1,85 млн. Средний размер выкупа организаторам таких атак превысил $170 тыс. Согласно докладу Sophos, лишь 8% компаний смогли полностью вернуть утраченные данные после взлома с использованием вирусов-вымогателей. 29% организаций удалось восстановить не больше половины информации.

Один из самых громких случаев последнего времени, который широко освещался в СМИ – кейс Colonial Pipeline, одного из крупнейших мировых поставщик топлива. Нефтепровод оказался заблокирован почти на неделю, что вызвало рост цен на горючее, как в кризисные времена. Компания согласилась на условия хакеров и заплатила им 5 млн долларов.

Если вы считаете, что угроза существует только для крупного бизнеса, это «ошибка выжившего» – истории малого бизнеса просто почти не попадают в новости. Зато попадают в отчеты официальных структур: ФИНЦерт сообщал, что в 2019-2020 гг. фиксировал по 2-3 атаки в неделю на компании МСБ (это очень часто!). Хакеры пытались получить доступ к дистанционному банкингу, вирусы раскидывали с помощью фишинга. И это только официальная статистика по одной отрасли.

При этом у МСБ гораздо меньше возможностей, чем у крупных компаний, отбиться от атаки или расплатиться с вымогателем. Поэтому проблему лучше исключить до ее появления – не дать состояться первой части атаки. Как предупредить фишинговое заражение и какие методы профилактики существуют?

Как распознать фишинг: главные приёмы мошенников

Фишинг коварен тем, что против него нет универсального технического решения, это всегда комплекс мер. Поэтому главное оружие – внимательность сотрудников. Не стоит надеяться, что работник самостоятельно поймёт, какие письма или ссылки в мессенджерах открывать не следует. Информируйте сами. Вот, что нужно знать как алфавит – приметы фишинг-письма:

• В адресе отправителя бессмысленный набор букв.
• Адрес фирмы-отправителя не совпадает с тем, что указан на сайте.
• Имя отправителя и контактные данные отсутствуют.
• Имя отправителя схоже с известной компанией, но в нём присутствуют лишние буквы (ngov.ru).
• Письмо отправлено не с корпоративной почты, а с обычной (gmail.com, yandex.ru).
• У вложенных файлов непонятное расширение или название.
• Ссылки размещены не в тексте, а вшиты в изображения, QR-коды и кнопки.
• При наведении курсора на кнопку или ссылку в письме, в всплывающей подсказке отображается не тот адрес. Часто переставлены всего две буквы в адресе и это не сразу заметно для человеческого глаза. Например, вместо searchinform может быть написано saerchinform.
• Проблемы с грамматикой и орфографией: письма мошенников часто содержат опечатки и ошибки, так как они не уделяют много времени на их вычитку подготовку.

Важно! Если письмо соответствует какому-то пункту из приведённого перечня, это не значит, что оно на 100% мошенническое. Это значит, что надо проявить к нему повышенное внимание и убедиться, что нет других примет атак. 

Мало проинформировать сотрудников, проводите учения, благо это можно сделать и своими силами: время от времени вбрасывайте письма-приманки и дообучайте тех, кто «купился». Так поддержите нужный тонус и будете тренировать навык безопасного поведения в коллективе. Есть и услуги профессиональных ИБ-команд, которые проведут учения за вас.

К сожалению, даже успешное прохождение обучения и испытаний не гарантирует результат, потому что способы мошенничества развиваются. Кроме того, если ставится цель зазубрить сценарии, а не понять принцип атаки, польза от обучения снижается. Ведь злоумышленники разрабатывают новые приёмы, выбирают самые правдоподобные способы обращения к сотрудникам компании, а если затеют точечную атаку, могут проработать схему атаки в несколько этапов, чтобы максимально притупить бдительность. В таком случае разобраться, фишинговое ли перед вами письмо, бывает сложно даже ИБ-специалисту.

Разберем пример.

Недавно меня попросили разобраться с примером письма (от государственной организации, скриншот ниже): «Могут ли такие письма содержать угрозу?».

Минимальный «набор» действий я перечислял выше – проверка по всем пунктам показывает, что сообщение безопасно. Оно кроме того не содержит никаких призывов перейти по ссылке, наоборот, пытается всячески предостеречь от этого.

Увы, этого недостаточно, т.к. сообщение может быть частью более сложного сценария:

1. Письмо может быть частью более длинной цепочки. То есть первое письмо ставит целью усыпить бдительность, за ним может следовать другое, которое будет призывать к активным действиям.
2. Сложно разобраться, верные ли телефонные номера указаны в письме. «Пробить» их сложно, на официальном сайте gov.ru указаны похожие номера, но далее есть расхождение – пока не позвонишь, не проверишь. Но на том конце провода могут ждать мошенники, которые втянут жертву в «телефонный фишинг». И уже на этом этапе киберпреступники могут призвать перейти по ссылке, загрузить вложение или сообщить им какую-либо информацию.

Скриншот с gov.ru

1. Почтовый ящик может быть взломан. То есть злоумышленник может писать с настоящей, а не поддельной почты. В таком случае мы имеем дело с BEC-атакой (business email compromise, злоумышленник получает доступ к корпоративной учетной записи электронной почты, чтобы при помощи методов социальной инженерии обмануть получателей писем). Тогда до поры вы можете вообще не узнать, с кем общаетесь и какие ц отправителя истинные мотивы.

Повторюсь: письмо, рассмотренное в примере, безопасно. Я намеренно сгустил краски, чтобы показать, как далеко могут пойти мошенники, если всерьез нацелятся на вашу компанию.

Так что же делать в этой ситуации, когда могут быть скомпрометированы и телефоны, и электронные ящики? Остается организовать «круговую оборону».

1. Добротная ИТ-инфраструктура. Технические средства защиты в ситуации с фишингом несут вспомогательную функцию. Но это очень важная страховка: если в организации обеспечена добротная защита (от антивирусов и спам-фильтров до DLP-систем для контроля действий сотрудников), это помогает максимально снизить вероятность того, что фишинговое письмо вообще дойдет до адресата. А если и дойдет – максимально снизить риск вероятного ущерба.
2. Личная бдительность сотрудников. Учитесь обращать внимание на любые странности нетипичные просьбы в деловой переписке (например, «у нас сменились реквизиты, прошу перевести платёж по новым). Возникают сомнения – связывайтесь с собеседником только по известным вам каналам (телефонам, мессенджерам, через видео-звонок и т.п.), а не по тем, что были указаны в письме.
3. Общая культура в обращении с данными. То, что люди считают дорогим и ценным, принято беречь. Если в вашей компании еще не так, призывы к бдительности не помогут.

Пока нет ни единого признака, что мошенники перестанут пользоваться фишингом: это по-прежнему недорогой и действенный метод обмана как обычных людей, так и целых корпораций. Победить проблему помогает только комплексный подход. Если придерживаетесь его, атаковать мошенникам будет дороже потенциальной выгоды. Подыщут более легкую добычу.

Ежегодно фишинг-атаки приводят к значительным убыткам в секторе бизнеса.

Например, для Google и Facebook связанные с фишингом убытки превышают $100 млн. Бельгийский Creland Bank отдал киберпреступникам более $75 млн. А австрийский производитель комплектующих для аэрокосмических систем FACC потерял больше $61 млн. Что приводит к таким колоссальным убыткам? Каждая из этих компаний стала жертвой различных и дорого им обошедшихся фишинг-атак.

Что такое фишинг-атака?

Фишинг – это вид хакерской атаки, при которой мошенники пытаются уловками заставить пользователя выполнить те или иные действия. В большинстве случаев атака осуществляется посредством электронных писем, которые рассылаются в больших количествах для обмана ничего не подозревающих людей. Вы, должно быть, слышали о «нигерийских принцах», которые предлагают наследство или баснословные богатства за небольшую «комиссию».
Однако с тех пор, как его величество впервые появилось на просторах интернета, фишинг значительно преобразился. И сегодня существует масса разновидностей фишинг-атак, нацеленных на бизнес-сектор. Одни происходят через электронные письма и сайты, другие через СМС и телефонные звонки.

Цель таких атак – обманным путем заполучить личные данные человека для кражи денег с его счетов. Сегодня индустрия киберпреступлений достигла небывалых масштабов. Согласно отчетам Cybersecurity Ventures, в 2021 году глобальные убытки от действий хакеров составят $6 триллионов. Львиная доля из которых придется на фишинг.

Но что конкретно имеется в виду, когда речь заходит о фишинге? Какие типы атак используются для обмана пользователей каждый день?
Давайте разберемся.

10 типов фишинг-атак, которые могут навредить вашему бизнесу

Итак, мы составили список из 10 самых распространенных фишинг-атак. Его задача – познакомить вас с максимальным количеством мошеннических схем и в общих чертах описать принцип их работы, чтобы вы могли при случае их распознать и отличить от других типов мошеннических действий.
Список представлен в произвольном порядке, и опасность той или иной схемы никак не связана с её порядковым номером.

Что ж, раз с этим разобрались… Давайте приступать.

1. Поддельное деловое письмо

Первый тип фишинг-атак, о котором мы хотели бы поговорить, это поддельные деловые письма. Их злоумышленник отправляет менеджерам нижнего звена – обычно сотрудникам финансового или бухгалтерского отдела. При этом хакер подписывает письмо именем директора компании, члена совета директоров или высокопоставленного менеджера. Цель такого письма – обманом вынудить получателя перевести денежные средства на подложный счет. Только задумайтесь: согласно данным ФБР, ежегодно в одних только США такие атаки приводят к миллиардным убыткам.

2. Клон-фишинг

Суть клон-фишинга заключается в попытке использования настоящих писем и сообщений, которые жертва уже получала ранее, для создания их вредоносных версий. Для атаки составляется виртуальная реплика уже существующего сообщения – отсюда и название. Затем хакер отправляет поддельное письмо с правдоподобно выглядящего электронного адреса. Текст письма остается тот же, но вот только все ссылки и вложения в нем заменяются на вредоносные.
Киберпреступник часто объясняет повторную отсылку письма тем, что в прошлой версии он вставил неправильную ссылку, тем самым побуждая жертву перейти по новой ссылке. Казалось бы, такой обман довольно легко раскусить. Но на деле на эту удочку ловится немало неосторожных пользователей.

3. Подмена домена

Следующий тип атак заключается в подмене домена (адреса сайта). Обычно проводится через электронную почту или мошеннические сайты. Атака заключается в подмене хакером адреса компании или организации таким образом, чтобы:

Электронные письма выглядели так, будто их отправили с официального адреса компании;

Поддельный сайт выглядел как реальный сайт компании; в том числе такой сайт имеет URL-адрес, похожий на настоящий.

Как такое возможно? В случае атаки через почту, мошенник подделывает письмо, чтобы казалось, будто оно отправлено из официального ящика компании. Во втором случае, хакер сначала создает поддельный сайт, который выглядит максимально похоже на оригинальный (при этом адрес такого сайта незначительно отличается от настоящего; например, apple.co вместо apple.com).

4. Злой близнец

Судя по названию, можно подумать, что эта атака не слишком отличается от клон-фишинга. Но на самом деле разница довольно существенная. В отличие от предыдущих схем, «злой близнец» осуществляется через Wi-Fi. Для проведения атаки, создается поддельная точка доступа Wi-Fi, которая маскируется под настоящую. При подключении к ней, хакер получает доступ к личной или корпоративной информации без ведома пользователя. Ещё эту схему называют «Старбакс-атакой», так как мошенники часто маскируются под Wi-Fi кофеен.

Для подключения к поддельной точке доступа используется тот же SSID-идентификатор, что и к настоящей. И когда ничего не подозревающий посетитель входит в интернет, он тем самым открывает доступ к своим личным данным, паролям и кредитным картам.

5. HTTPS-фишинг

58% фишинговых сайтов используют протокол передачи данных HTTPS. Чтобы заманить жертву на такой сайт, мошенники рассылают электронные письма со ссылкой на него. Причем часто письмо не содержит ничего, кроме самой ссылки (она может быть как кликабельной, так и требовать копирования и вставки в адресную строку; последний вариант реже замечают спам-фильтры).

Зачем вообще переходить по таким ссылкам? Дело в том, что мошенники отправляют такие письма с адресов, похожих на почтовые ящики знакомых жертвы. Например, на почтовый ящик босса или коллеги. Различия могут быть минимальны, и невнимательный пользователь часто их не замечает.

6. Смишинг

СМС-фишинг (или «Смишинг») – это тип фишинг-атаки, фокусирующийся на СМС и мессенджерах. В частности, хакеры нередко шлют сообщения, маскирующиеся под маркетинговую рассылку от различных компаний. Таким образом мошенник обманом заставляет человека скачать вредоносное ПО по ссылке, представленной в сообщении. При этом в тексте сообщения обычно указывается нечто заманчивое, например, «перейдите по ссылке и получите купон на 20% скидку» или «получите шанс выиграть бесплатные билеты на шоу».

Хороший способ распознать поддельное сообщение – проверить номер, с которого оно было отправлено. И лучше вообще не отвечать на любые хоть немного подозрительные сообщения. Если вы не подписывались на уведомления или рассылку от компании, никогда не переходите по ссылкам, указанным в СМС. А если сомневаетесь, то вспомните наставление, которое родители и учителя давали вам в детстве: не разговаривайте с незнакомцами.

7. Спирфишинг

Спирфишинг (или «фишинг копьем») – это нацеленный тип атаки. В отличие от массово рассылаемых фишинговых писем, которые спамеры отправляют максимальному количеству людей, спирфишинг заключается в отправке индивидуализированных сообщений конкретному человеку или компании. Перед этим мошенник пытается узнать о жертве любую возможную информацию, а затем составляет заголовок и текст письма таким образом, чтобы человеку захотелось его открыть и перейти по ссылке или открыть вложения в нем.

Чем так опасен спирфишинг? Дело в том, что 91% от всех кибератак начинаются именно со спирфишинга. Когда человек переходит по подозрительной ссылке, на его компьютер устанавливается вредоносное или шпионское ПО, благодаря которому хакер получает доступ к информации и счетам жертвы. К сожалению, традиционные методы защиты редко помогают предотвратить подобные атаки, так как они всегда нацелены на конкретного человека, и спам-фильтры их попросту не замечают.

8. Вишинг

Мы уже рассказали что такое смишинг – атака посредством СМС. Примерно по тому же принципу работает и вишинг – голосовой фишинг (“voice phishing”). Хакер звонит жертве и просит жертву предоставить свою личную или финансовую информацию. Обычно для первоначального контакта используется система автоматического дозванивания, и если человек клюет на схему, то его уже подключают к мошеннику напрямую. Помимо телефонных звонков, для вишинга также используются мессенджеры, а также различные методы по подделке или маскировке номера телефона.

Такие атаки также предполагают применение различных методов т. н. социальной инженерии (предварительного добывания различных данных о жертве перед атакой). Затем эта информация используется для выманивания личных данных о человеке. Например, мошенник может прикинуться кем-нибудь другим – сотрудником вашего банка или, скажем, директором, который якобы работает в другом филиале вашей компании. Нередко с вас будут требовать несуществующие налоговые или кредитные задолженности, а также данные банковской карты под предлогом «проверки». Стоит ли говорить, что не стоит вестись у них на поводу. Сразу же прекращайте разговор при малейших подозрениях.

9. «Водопой»

Менее распространенный тип фишинг-атаки, вдохновленный типичной ситуацией в животном мире. Представьте себе стадо зебр или антилоп у водоема. Они осторожно подбираются ближе к воде, чтобы напиться. Одна зебра подходит слишком близко и отделяется от стада. И тут из-под поверхности воды выпрыгивает крокодил, хватает жертву и утаскивает её на дно.

И, как вы уже догадались, в этом сценарии потенциальной жертвой выступаете именно вы.

• Хакер взламывает сторонний сайт
• Вы захотите на этот сайт и скачиваете вредоносное ПО
• ПО устанавливается на ваш компьютер
• Мошенник начинает собирать личные и финансовые данные
• Вирус распространяется на другие компьютеры.

«Водопой» вредит компаниям следующим образом:

• Хакер узнает, какие сайты сотрудники организации посещают чаще всего;
• А затем заражает один из них вредоносным ПО.

Например, целью заражения может стать поставщик услуг, которыми часто пользуется ваша компания. При переходе на зараженный сайт на компьютер пользователя автоматически загружается вирус. Это даст хакеру доступ к серверам компании и хранящейся на них личной и финансовой информации.
Будут ли заходить на сайт другие люди, не имеющие отношения к компании? Вероятно. Но с точки зрения киберпреступников, это лишь щепки, которые летят при рубке леса.

10. Вэйлинг

Вэйлинг – это ещё одна форма спирфишинга. По сути, она представляет собой противоположность схемы с поддельным деловым письмом, описанной в первом пункте. Этот метод нацелен не на сотрудников нижнего звена, а на высокопоставленных директоров. Задача хакера – выманить из жертвы важную финансовую или корпоративную информацию. При этом цели проходят тщательный отбор по причине их высокого положения в компании. Проводится вэйлинг обычно через электронные письма или поддельные домены.

Как и при спирфишинге, изначально о цели собирается максимально возможный объем информации (обычно из социальных сетей). Как минимум, перед отправкой письма мошеннику нужно узнать имя жертвы, должность, основные интересы и круг знакомств. Так разговор будет выглядеть более натуральным.
Этим список разновидностей фишинг атак не исчерпывается (например, мы не поговорили о сноушуинге). Однако вариации мошеннических схем можно перечислять до бесконечности, потому давайте остановимся на десяти.

Как обезопасить себя от фишинг-атак

По-настоящему надежная и эффективная кибербезопасность состоит из нескольких слоев. Вот несколько вещей, которые вы можете сделать, чтобы ваша информация не попала в руки злоумышленников:

Обучите сотрудников правилам корпоративной безопасности

Это должно быть чем-то само собой разумеющимся, но повторить не будет лишним, так как это по-прежнему кажется камнем преткновения для некоторых предприятий: обучайте своих сотрудников. Всех и каждого, от уборщиц до исполнительных директоров.

Пользуйтесь сертификатами подписи электронной почты

Как мы упоминали ранеее, от фишинговых писем помогут защититься сертификаты подписи. Они также известны как S/MIME-сертификаты и используются для шифрования содержимого писем (и любых вложений), а также для цифровой подписи любых сообщений.

Ниже пример письма, которое мне отправил босс. Оно подписано электронным сертификатом:

Под именем отправителя есть специальная графа “Signed By”. В ней указан подтвержеднный электронный адрес отправителя. Если навести на него мышью, то появится сообщение «Проверенная цифровая подпись. Нажмите, чтобы увидеть подробности». При нажатии выскочит следующее окно:

При клике на кнопку «Детали», вы увидите более подробное описание слоев защиты цифровой подписи.

Другие советы по предотвращению фишинг-атак:

1. Менеджер паролей. Надежный менеджер паролей позволяет пользователям хранить и использовать сложные и разные пароли для каждого профиля без необходимости их запоминать.
2. Двухфакторная аутентификация. При её включении, в систему можно войти только после успешного прохождения не менее двух следующих этапов:
3. Ввод пароля или кодовая фраза;
4. Подтверждение мобильным приложением, смарт-картой, личным жетоном и т. д.;
5. Сканирование отпечатка пальца или сетчатки глаза.
6. Инфраструктура политики отправителей. Это тип подтверждения электронной почты, который позволяет пользоваться электронным адресом только определенным людям.
7. Подтверждение подозрительных сообщений по официальным каналам. Если вам поступил сомнительный звонок от сотрудника вашего банка, положите трубку и перепозвоните в банк по телефону, указанному на пластиковой карте. Если директор в электронном письме просит вас перевести ему деньги или передать важные данные, сначала свяжитесь с его помощником для уточнения деталей. Никогда не пользуйтесь контактной информацией, которую предоставляет вам потенциальный мошенник.
8. Пользуйтесь безопасными сайтами с шифрованием. Убедитесь, что посещаемые вами сайты безопасны. Такой сайт использует протокол HTTPS вместо HTTP. А собственный сайт можно обезопасить с помощью сертификатов SSL/TLS, которые защищают данные, передаваемые между сервером и конечным пользователем.

Фишинг – это тип кибер-преступления, при котором преступники выдают себя за надежный источник в Интернете, чтобы вынудить жертву передать им личную информацию (например, имя пользователя, пароль номер банковской карты и пр.).

Фишинговая атака может принимать различные формы, и хотя она часто происходит по электронной почте, существует множество различных методов, которые мошенники используют для выполнения своих схем. Это особенно актуально сегодня, когда фишинг продолжает развиваться, порой удивляя своей изощренностью и степенью распространенности. Хотя целью любого фишингового мошенничества всегда является кража личной информации, существует множество различных видов фишинга, о которых вы должны знать.

1. Почтовый фишинг

Возможно, будучи самым распространенным типом фишинга, он зачастую использует технику «spray and pray», благодаря которой хакеры выдают себя за некую легитимную личность или организацию, отправляя массовые электронные письма на все имеющиеся у них адреса электронной почты.

Такие письма содержат характер срочности, например, сообщая получателю, что его личный счет был взломан, а потому он должен немедленно ответить. Их цель заключается в том, чтобы своей срочностью вызвать необдуманное, но определенное действие от жертвы, например, нажать на вредоносную ссылку, которая ведет на поддельную страницу авторизации. Там, введя свои регистрационные данные, жертва, к сожалению, фактически передает свою личную информацию прямо в руки мошенника.

Пример почтового фишинга

The Daily Swig сообщила о фишинговой атаке, произошедшей в декабре 2020 года на американского поставщика медицинских услуг Elara Caring, которая произошла после несанкционированного компьютерного вторжения, нацеленного на двух его сотрудников. Злоумышленник получил доступ к электронной почте сотрудников, в результате чего были раскрыты личные данные более 100 000 пожилых пациентов, включая имена, даты рождения, финансовую и банковскую информацию, номера социального страхования, номера водительских прав и страховую информацию. Злоумышленник имел несанкционированный доступ в течение целой недели, прежде чем Elara Caring смогла полностью остановить утечку данных.

2. Spear Phishing (спеарфишинг или целевой фишинг)

Вместо того чтобы использовать технику «spray and pray», как описано выше, спеарфишинг включает в себя отправку вредоносных электронных писем конкретным лицам внутри организации. Вместо того, чтобы рассылать массовые электронные письма тысячам получателей, этот метод нацелен на определенных сотрудников в специально выбранных компаниях. Такие типы писем часто более персонализированы, они заставляют жертву поверить в то, что у них есть отношения с отправителем.

Пример спеарфишинга

Armorblox сообщила о спеарфишинговой атаке в сентябре 2019 года против руководителя компании, названной одной из 50 лучших инновационных компаний в мире. Письмо содержало вложение, которое, по-видимому, было внутренним финансовым отчетом, для доступа к которому требовалось пройти авторизацию на поддельной странице входа в Microsoft Office 365. На поддельной странице входа в систему уже было заранее введено имя пользователя руководителя, что еще больше усиливало маскировку мошеннической веб-страницы.

3. Whaling (уэйлинг)

Whaling (уэйлинг) очень похож на spear phishing (спеарфишинг), но вместо того, чтобы преследовать любого сотрудника в компании, мошенники специально нацеливаются на руководителей (или «крупную рыбу», отсюда и термин «уэйлинг», что в переводе  с английского языка означает «китобойный промысел»). К таким сотрудникам относятся генеральный директор, финансовый директор или любой руководитель высокого уровня, имеющий доступ к более конфиденциальным данным, чем сотрудники более низкого уровня. Часто эти электронные письма используют ситуацию, способную оказать на таких руководителей серьезное давление, чтобы «зацепить» своих потенциальных жертв, например, передавая информацию о поданном против компании судебном иске. Такое письмо побуждает получателя перейти по вредоносной ссылке или к зараженному вложению для получения дополнительной подробной информации.

Пример уэйлинга

В ноябре 2020 года Tessian сообщил о уэйлинг-атаке на соучредителя австралийского хедж-фонда Levitas Capital. Соучредитель получил электронное письмо, содержащее поддельную ссылку в Zoom, которая внедрила вредоносное ПО в корпоративную сеть хедж-фонда и почти привела к уводу 8,7 миллиона долларов США на счета мошенников. В конечном счете злоумышленник смог заполучить только лишь 800 000 долларов США, однако последовавший за этим репутационный ущерб привел к потере крупнейшего клиента хедж-фонда, что вынудило его закрыться навсегда.

4. Smishing (смишинг)

SMS-фишинг, или smishing (смишинг), для проведения фишинговой атаки использует текстовые сообщения, а не электронную почту. Принцип действия такой же, как и при осуществлении фишинговых атак по электронной почте: злоумышленник отправляет текстовое сообщение от, казалось бы, легитимного отправителя (например, заслуживающая доверия компания), которое содержит вредоносную ссылку. Ссылка может быть замаскирована под код купона (скидка 20% на ваш следующий заказ!) или предложение выиграть что-то вроде билетов на концерт.

Пример смишинга

В сентябре 2020 года Tripwire сообщила о смишинг-кампании, в рамках которой в качестве маскировки использовалась американская почтовая служба United States Post Office (USPS). Злоумышленники рассылали SMS-сообщения, информирующие получателей о необходимости перейти по ссылке для просмотра важной информации о предстоящей доставке USPS. Вредоносная ссылка фактически приводила жертв на различные веб-страницы, предназначенные для кражи учетных данных посетителей аккаунта Google.

5. Vishing (вишинг)

Vishing (вишинг), иначе известный как voice phishing (голосовой фишинг), похож на смишинг в том, что телефон используется в качестве средства для атаки, но вместо того, чтобы использовать текстовые сообщения, атака проводится с помощью телефонного звонка. Вишинг-звонок часто передает автоматическое голосовое сообщение якобы от легитимной организации (например, ваш банк или государственное учреждение).

Злоумышленники могут заявить, что вы задолжали большую сумму денег, срок действия вашей автостраховки истек или ваша кредитная карта имеет подозрительную активность, которую необходимо немедленно исправить. В этот момент жертве обычно говорят, что она должна предоставить личную информацию, такую как учетные данные кредитной карты или номер социального страхования, чтобы подтвердить свою личность, прежде чем получить дополнительную информацию и предпринять какие-либо действия.

Пример вишинга

В сентябре 2020 года медицинская организация Spectrum Health System сообщила о вишинг-атаке, в рамках которой пациенты получали телефонные звонки от лиц, маскирующихся под ее сотрудников. Злоумышленники намеревались извлечь персональные данные пациентов и членов Spectrum Health, включая идентификационные номера членов и другие личные медицинские данные, связанные с их учетными записями. Spectrum Health сообщила, что злоумышленники использовали такие меры, как лесть или даже угрозы, чтобы заставить жертв передать свои данные, деньги или доступ к их личным устройствам.

6. Business Email Compromise (BCO, CEO-мошенничество, компрометация корпоративной электронной почты)

CEO-мошенничество – это форма фишинга, при которой злоумышленник получает доступ к учетной записи электронной почты высокопоставленного руководителя (например, генерального директора). Имея в своем распоряжении скомпрометированный аккаунт, кибер-преступник, выдавая себя за генерального директора, отправляет электронные письма сотрудникам организации с целью осуществить мошеннический банковский перевод или провести ряд других незаконных действий.

Пример CEO-мошенничества

Инки сообщила о CEO-мошенничестве против австрийской аэрокосмической компании FACC в 2019 году. В рамках той атаки бухгалтер компании получил письмо якобы от генерального директора FACC. В письме содержалась информация о требуемом финансировании нового проекта, и бухгалтер неосознанно перевел 61 миллион долларов на мошеннические иностранные счета.

7. Clone Phishing (клон-фишинг)

Если вы когда-либо получали законное электронное письмо от легитимной компании, а спустя какое-то время получали, казалось бы, то же самое сообщение, то вы стали свидетелем клон-фишинга в действии. Этот метод фишинга работает путем создания вредоносной копии недавно полученного сообщения от легитимного отправителя, которое якобы направляется повторно от, казалось бы, этого же легитимного отправителя. Любые ссылки или вложения из исходного письма заменяются вредоносными. Злоумышленники обычно используют предлог повторной отправки сообщения из-за того, что в первоначальном письме были указаны неверные ссылки или вложения.

Примеры клон-фишинга

Один из специалистов по информационной безопасности продемонстрировал возможность перехода по ссылке из электронного письма на поддельный веб-сайт, у которого в адресной строке браузера, казалось бы, показывается правильный URL, но на самом деле для обмана пользователей в нем используются символы, которые очень похожи на законное доменное имя. Всегда открывайте веб-сайты из собственных закладок или самостоятельно набирая URL-адрес в адресной строке вашего браузера, и никогда не переходите по ссылке из неожиданного или подозрительного письма (даже если оно кажется легитимным).

8. Evil Twin Phishing (фишинг-атака «злой двойник»)

Тип фишинговой атаки Evil Twin («злой двойник») включает в себя создание копии легитимной сети WiFi, которая на самом деле заманивает жертв, подключающихся к ней, на специальный фишинговый сайт. Как только жертвы попадают на этот сайт, им обычно предлагается ввести свои личные данные, такие как учетные данные для входа, которые затем передаются непосредственно хакеру. Как только хакер получит эти данные, он сможет войти в сеть, взять ее под контроль, отслеживать незашифрованный трафик и находить способы кражи конфиденциальной информации и данных.

Пример фишинга Evil Twin («злой двойник»)

В сентябре 2020 года Nextgov сообщила о нарушении данных в системах Министерства внутренних дел США. Хакеры использовали атаку типа Evil Twin («злой двойник»), чтобы украсть уникальные учетные данные и получить доступ к WiFi-сетям министерства. Дальнейшее расследование показало, что министерство не работало в рамках защищенной инфраструктуры беспроводной сети, а сетевая политика не обеспечивала строгие меры аутентификации пользователей, периодическую проверку сетевой безопасности или мониторинг сети для обнаружения и управления распространенными атаками.

9. Фишинг в социальных сетях

Фишинг в социальных сетях подразумевает использование Facebook, Instagram и Twitter, чтобы получить конфиденциальные данные жертв или заманить их нажать на определенные вредоносные ссылки. Хакеры могут создавать поддельные аккаунты, выдавая себя за кого-то из знакомых жертвы, чтобы заманить ее в свою ловушку, или они могут даже выдавать себя за аккаунт службы обслуживания клиентов известной компании, чтобы охотиться на жертв, которые обращаются в эту компанию за поддержкой.

Пример фишинга в социальных сетях

В августе 2019 года Fstoppers сообщила о фишинговой кампании, запущенной в Instagram, в рамках которой мошенники отправляли личные сообщения пользователям Instagram, предупреждая их о нарушении авторских прав на изображения и требуя, чтобы они заполнили специальную форму во избежание блокировки своего аккаунта.

Одна из жертв получила личное сообщение от якобы официального аккаунта North Face, в котором утверждалось о нарушении авторских прав. Жертва перешла по ссылке в сообщении на, казалось бы, легитимный сайт InstagramHelpNotice.com, где пользователя попросили ввести свои регистрационные данные для входа. Жертва, попавшая в ловушку, в конечном счете предоставила хакерам доступ к информации о своем аккаунте и другим личным данным, связанным с ее аккаунтом в Instagram.

10. Фишинг в поисковых системах

При использовании фишинга в поисковых системах хакеры создают свой собственный веб-сайт и индексируют его в легитимных поисковых системах. Эти сайты часто предлагают дешевые товары и невероятно заманчивые предложения, пытающиеся заманить ничего не подозревающих онлайн-покупателей, которые видят сайт на странице результатов поиска в Google или в других поисковиках. Если жертва нажимает в поисковике на ссылку для перехода на такой сайт, то, как правило, предлагается зарегистрировать аккаунт или ввести информацию о своем банковском счете для завершения покупки. Конечно, мошенники затем крадут эти личные данные, чтобы использовать их для извлечения финансовой выгоды в дальнейшем.

Пример фишинга в поисковых системах

В 2020 году Google сообщил, что ежедневно обнаруживается 25 миллиардов спам-сайтов и фишинговых веб-страниц. Кроме того, Wandera сообщила в 2020 году, что каждые 20 секунд запускается новый фишинговый сайт. Это означает, что каждую минуту в поисковых системах появляются три новых фишинговых сайта!

11. Pharming (фарминг)

Pharming (фарминг) – это сочетание слов «фишинг» (phishing) и «фарм» (farm). В рамках данного типа фишинга хакеры, нацеливаясь на DNS-серверы (серверы доменных имен), перенаправляют пользователей, которые пытаются открыть какие-нибудь легитимные сайты, на вредоносные веб-сайты. DNS-серверы существуют для того, чтобы направлять запрос на открытие конкретного веб-сайта на соответствующий IP-адрес сервера, где этот сайт размещен. Хакеры, занимающиеся фармингом, часто нацеливаются на DNS-серверы, чтобы изменить хранящиеся на них сведения об IP-адресах и доменах и перенаправить жертв на мошеннические веб-сайты с поддельными IP-адресами. Когда при обработке веб-запросов пользователей используется такой взломанный DNS-сервер, то их данные становятся уязвимыми для кражи хакером.

Пример фарминга

Secure List сообщил о фарминг-атаке на добровольческую гуманитарную кампанию, запущенную в Венесуэле в 2019 году. В рамках этой кампании существовал веб-сайт, на котором волонтеры могли зарегистрироваться для участия в гуманитарной акции, и сайт просил их предоставить такие их персональные данные, как имя, удостоверение личности, номер мобильного телефона, их домашний адрес и многое другое.

Через несколько дней после запуска сайта появился практически идентичный сайт с похожим доменом. Хакер создал этот поддельный домен, используя тот же IP-адрес, что и исходный веб-сайт. Всякий раз, когда волонтер открывал подлинный веб-сайт, любые личные данные, которые он вводил, фильтровались на поддельный веб-сайт, что приводило к краже данных тысяч добровольцев.

Советы по обнаружению и предотвращению фишинговых атак

Один из лучших способов защитить себя от фишинговой атаки – это изучить примеры фишинга в действии и понимать, что нужно искать при попытке обнаружить фишинговую атаку и что нужно предпринять для предотвращения атаки. Ниже представлены основные признаки, которые позволят вам выявить потенциальную фишинговую атаку:

• В электронном письме Вас просят подтвердить персональную информацию: Если вы получаете электронное письмо, которое выглядит подлинным, но кажется совершенно неожиданным, то это явный признак того, что письмо могло прийти от поддельного и ненадежного отправителя.
• Плохая грамматика: Неправильно написанные слова, плохая грамматика или странный фразеологический оборот также являются предупреждающим знаком попытки фишинга.

• Сообщения, оказывающие серьезное давление: Если вам кажется, что сообщение предназначено для того, чтобы вы запаниковали и немедленно предприняли какие-то меры, то, наоборот, действуйте крайне осторожно – скорее всего, вы столкнулись с распространенной среди кибер-преступников техникой.

• Подозрительные ссылки или вложения: Если вы получили неожиданное сообщение с просьбой открыть неизвестное вложение, никогда не делайте этого, пока не будете полностью уверены, что отправитель является легитимным контактом.

• Слишком хорошо, чтобы быть правдой: Если с вами связываются с целью предложить какую-то «сделку века» или «суперневероятное предложение», то скорее всего речь идет о подделке или обмане.

Следующая лучшая линия защиты от всех видов фишинговых атак и кибер-атак в целом – это использование надежного антивируса. По крайней мере, вы можете воспользоваться преимуществами бесплатного антивируса, чтобы лучше защитить себя от онлайн-преступников и сохранить ваши личные данные в безопасности. 

Если вам приходили письма о баснословных выигрышах или звонили подозрительные сотрудники банка, чтобы узнать код из СМС, знайте: это фишинг, попытка украсть ваши данные или деньги с помощью вредоносных ссылок. Он может касаться как физического лица, так и больших компаний и иметь серьёзные последствия.

Мы написали лонгрид о том, как действуют мошенники и что делать, чтобы не попасть в их ловушки. В конце вы найдёте список рекомендаций, как обезопасить себя и своих сотрудников.

Что такое фишинг

«Фишинг» — это калька с английского слова phishing, состоящего из слов fishing (рыбная ловля, выуживание) и password (пароль). Это один из самых распространённых видов интернет-мошенничества, где цель — получить идентификационные данные.

Действия мошенников могут привести к последствиям разной степени тяжести: от невинного баннера на персональном компьютере до потери контента компании без возможности восстановить его.

Основная цель фишинга — украсть что-то ценное и использовать себе во благо либо скомпрометировать или обрушить чужой бизнес. 

Что обычно становится целью фишеров:

• персональные данные, в том числе паспортные;
• всевозможные логины и пароли;
• коды доступа;
• данные для входа в личные кабинеты;
• реквизиты банковских карт или счетов;
• личная переписка;
• служебная информация;
• базы данных;
• информация, представляющая коммерческую тайну, и пр.

Кого атакуют фишеры и как часто 

Масштабы фишинговых атак набирают обороты с каждым годом. Согласно исследованию Positive Technologies, в первом квартале 2020 года киберинцидентов стало больше на 20% по сравнению с предыдущим кварталом. Многие мошенники решили сыграть на главном страхе 2020 года — коронавирусе: с этой темой было связано примерно 13% фишинговых атак.

Мы писали отдельную статью о том, как на фоне пандемии мошенники обманывают людей. Помимо прочих ловушек и схем, в списке опасностей есть и рассылки с фишинговыми ссылками.

Ещё одно исследование провели эксперты «Лаборатории Касперского». Они выяснили, что в первом квартале 2020 года больше всего фишинговых атак пришлось на организации категории «Онлайн-магазины» — 18,12%. Диаграмма показывает, как распределились остальные проценты:

Данные исследования «Лаборатории Касперского»

Виды фишинга

Если вы услышите от кого-то слово «смишинг» или «вишинг», знайте: человек не смеётся над вами. Ведь и то, и другое — разные формы фишинга. Разберёмся в терминологии.

По целям атак фишинг делится:

• на Целевой (англ. spear phishing) — атаки на физических лиц.
• Уэйлинг (англ. whaling — китовый промысел) — фишинг по-крупному. Здесь главная цель — «киты» крупных компаний, высокопоставленные лица.

По каналам атак фишинг делится на:

• Собственно фишинг (англ. phishing) — рассылка сообщений с заражёнными или фейковыми сайтами. Это общий для всех видов фишинга термин. 
• Вишинг (англ. voice+phishing=vishing) — атаки с помощью телефонных звонков.
• Смишинг (англ. sms+phishing=smishing) — атаки через СМС.
• Фарминг (англ. pharming) — секретное перенаправление пользователя на заражённый сайт без его ведома. 
• Рассылка мошеннических сообщений в соцсетях.

Разберём виды фишинга и выясним, как защитить от него сотрудников и компанию в целом.

Фишинговые письма

На вашу почту приходит странное письмо, которое сообщает о выигрыше, просит срочно куда-то перейти и внести свои данные и т. д. Так мошенники играют на эмоциях: неожиданной радости, страхе, любопытстве.

Многие такие «письма счастья» попадают в папку «Спам», но некоторые ухитряются проскакивать во входящие. Нельзя полностью полагаться на антиспам-систему почты, нужно всегда быть начеку.

Признаки фишингового письма

• Нет имени отправителя и контактных данных.
• Адрес отправителя состоит из бессмысленного набора букв.
• Письмо от крупной организации, но на её настоящем сайте нет адреса этого отправителя.
• Отправитель представляется сотрудником компании, но пишет не с корпоративной почты, а с обычной: gmail.com, mail.ru.
• При наведении курсора на кнопку или ссылку в письме, в левом нижнем углу страницы отображается не тот адрес.
• В адресе ссылки есть необычные символы, например, @.
• У вложенных файлов неизвестное расширение и/или непонятное название.
• Ссылки не вставлены в текст, а замаскированы изображениями, кнопками, яркими картинками и QR-кодами.

О чём обычно пишут в фишинговых рассылках

Расскажем о темах вредоносных писем. Это далеко не полный список возможных сценариев-ловушек: мошенники очень изобретательны и постоянно придумывают новые способы выманить ваши данные. Вредоносные кнопки и ссылки в таких письмах либо запускают вирусы, либо ведут на страницы, где вы сами вводите важные данные.

1. Кто-то взломал вашу почту и узнал пароль / Мы обнаружили подозрительные или мошеннические действия в вашей учётной записи / Кто-то изменил настройки безопасности вашей почты.
2. Ваша учётная запись заблокирована или отключена / Вы добавлены в чёрный список: мы поняли, что вы мошенник или бот!
3. Вам важный документ из налоговой, полиции, кредитной организации и т. п. К письму прикреплены файлы, имеющие неизвестные расширения и странные названия.
4. Письмо от вашего коллеги/партнёра с документами или «важными рабочими» ссылками. 
5. Вы выиграли приз! Перейдите по ссылке, чтобы узнать условия получения и/или доставки.
6. Вы не погасили кредит — дело передаётся в суд.

Самое главное правило

Не переходите по ссылкам в подобных письмах, не нажимайте на картинки, как бы привлекательно они ни выглядели, не вводите свои данные на неизвестных страницах.

Фишинговые сайты

Ссылки в фишинговых письмах обычно ведут на вредоносные сайты. 

Какие сайты обычно подделывают:

• банков и микрофинансовых организаций;
• платёжных сервисов;
• поисковиков и почтовых сервисов;
• страницы с формами авторизации и оплаты интернет-магазинов;
• авиакомпаний и др.

Как распознать фишинговый сайт

• HTTP вместо HTTPS в адресе сайта

Это значит, что сертификата безопасности у сайта нет и соединение небезопасно. Если вы попали на сайт банка и видите в адресе HTTP, это повод усомниться в подлинности страницы. К сожалению, сейчас мошенник может легко получить бесплатный SSL-сертификат для своего фишингового сайта. Это в очередной раз доказывает, что серьёзная компания не станет пользоваться бесплатным сертификатом, а приобретёт его у проверенных поставщиков. 

• Странное или подозрительное доменное имя

Чтобы сбить с толку жертву, мошенники регистрируют доменные имена, похожие на названия крупных организаций. Но, если присмотреться, нестыковки будут очевидны: достаточно посмотреть на домен второго уровня. Например, вместо https://alfabank.ru фишинговый сайт будет называться http://alfabank.k.ru. Если сомневаетесь, найдите в поиске оригинальный сайт и сравните адреса — так вы поймёте, попали ли вы к мошенникам.

• Ошибки, опечатки, странности в дизайне и вёрстке

На странице всё «прыгает» и наезжает друг на друга, где-то не хватает текста, а где-то целые предложения написаны капсом. Грубые орфографические ошибки перемежаются с призывами зайти, ввести, нажать и купить. Как правило, такие сайты являются фишинговыми — крупные организации, под которые маскируются мошенники, не могут позволить себе выглядеть так небрежно.

Вы всегда можете проверить подозрительный сайт на подлинность и наличие вирусов и спама. Воспользуйтесь подходящим вам сервисом, например:

• AVG Threatlabs,
• Kaspersky VirusDesk,
• Google Transparency Report,
• ScanURL,
• PhishTank,
• Urlvoid.com и др.

Фишинговые звонки: вишинг

Как работает вишинг, голосовой метод фишинга:

• Вам звонит «сотрудник банка» или службы безопасности, рассказывает о подозрительных операциях по вашей карте и предлагает назвать данные из СМС. Настоящий сотрудник банка так делать не будет: это мошенники.
• Если вы давали объявление о продаже, например, на «Авито», вам наверняка звонили «покупатели» и просили данные вашей карты, чтобы перечислить предоплату. Это тоже одна из схем вишинга.

Фишинг через СМС: смишинг

Как обычно выглядит такой вид фишинга:

• Вам приходит сообщение или электронное письмо, где сообщают о проблеме: что-то не так с вашей картой или идентификационными данными, кто-то пытался списать деньги с вашего счёта и т. п. Чтобы выяснить, в чём дело, вам нужно позвонить по указанному в сообщении номеру. 
• Вам пришла СМС от неизвестного со ссылкой: скорее всего, это мошенники. Не переходите по ссылкам из сообщений!
• СМС приходит якобы от сотрудника компании, госуслуг или налоговой, но номер не официальный, а частный. Не верьте сообщению: это мошенники.

Фишинг в соцсетях

Как обычно выглядит:

• Вам приходит личное сообщение, которое призывает посмотреть провокационное видео с вами в главной роли, узнать что-то интересное, проголосовать или оставить комментарий. Мошенник присылает ссылку и хочет, чтобы вы по ней перешли. Там вы оставляете ваши данные или получаете вирус на устройство.
• Мошенники взламывают сообщества крупных компаний, размещают записи с вредоносными ссылками на стене и собирают урожай данных с подписчиков компании.
• Вам пишет «администратор» группы, в которой вы состоите, и сообщает, что вы выиграли приз. Но, чтобы его получить, вы должны оплатить страховку или доставку. Это мошенники, ничего не платите, не отвечайте на сообщения и заблокируйте пользователя.
• Ну и самое распространённое: вам пишет знакомый и просит в долг или проголосовать за него в конкурсе талантов или детского рисунка. Не отвечайте на сообщения, сразу же позвоните этому человеку и выясните, он ли написал вам в соцсети.

Виды кибератак на компании

Атака компании через сотрудников

Схема проста: мошенники запускают рассылку на сотрудника крупной компании, а тот, забыв о безопасности, например, переходит с рабочего устройства по вредоносной ссылке. Ваш сотрудник может попасть в любую ловушку из тех, которые мы описывали выше, и случайно дать злоумышленникам доступ к корпоративным аккаунтам и информации. Чтобы этого не произошло, обучайте сотрудников, проводите тренинги по компьютерной безопасности. И обязательно раздайте им памятку из окончания этой статьи.

Трояны-шифровальщики и другие трояны

Это особо опасные вирусы, которые проникают в систему разными способами, в том числе через фишинговые рассылки. Так мошенники охотятся в основном на корпоративных клиентов, крупные компании или государственные организации. Троян попадает в компьютер и зашифровывает всё его содержимое, после чего мошенники требуют выкуп за восстановление информации.

Кейлоггеры

Эти вирусы считывают информацию, которую вы вводите с помощью клавиатуры, и могут украсть множество самых разных данных. Кейлоггеры можно занести, перейдя по ссылке из фишингового письма, а также используя непроверенный антивирусом физический носитель: флешку или диск. 

Атаки на облачные хранилища

Так как многие крупные компании пользуются облачными сервисами типа Google Диска или Dropbox, мошенники начали атаковать и их. Много информации, корпоративные данные, базы и персональные сведения — всё оказалось под угрозой. Чаще всего пользователя обманом ведут на фишинговый сайт, полностью имитирующий страницу входа в личный кабинет, где человек вводит свои данные доступа.

Уголовная ответственность за фишинг

В Уголовном кодексе РФ не упоминается фишинг в качестве технического состава преступления. Но мошенников, пойманных на этом нарушении, всё же наказывают по статье 159.6 УК РФ: Мошенничество в сфере компьютерной информации.

Что ждёт преступника:

• штраф — до 120 тыс. руб. или в размере заработной платы или иного дохода за период до года;
• обязательные работы — до 360 часов;
• исправительные работы — до года;
• ограничение свободы — до двух лет;
• принудительные работы — до двух лет;
• арест — до четырёх месяцев.

Если мошенничество совершила группа лиц по предварительному сговору, их ждёт более серьёзное наказание:

• штраф — до 300 тыс. руб. или в размере заработной платы или иного дохода за период до двух лет;
• обязательные работы — до 480 часов;
• исправительные работы — до двух лет;
• принудительные работы — до пяти лет с ограничением свободы на срок до года или без такового;
• лишение свободы — до пяти лет с ограничением свободы на срок до года или без такового.

Подробнее о том, что ждёт фишеров и других кибермошенников, можно узнать в статье 159.6 УК РФ.

Программы для защиты ваших данных

Антивирусы

Установка антивируса — обязательное условие безопасности ваших личных устройств и устройств вашей компании. Во всех крупных антивирусах есть встроенная проверка на фишинг, достаточно только её настроить и включить. Установите лицензионное антивирусное ПО на ваш смартфон и ПК и обеспечьте все рабочие компьютеры этой защитой. И не забывайте о своевременном обновлении. 

Можно выбрать любой подходящий по стоимости и функционалу антивирус: Bitdefender Antivirus Plus, Antivirus Kaspersky и многие другие.

Сервис «Мониторинг бренда»

Защититься от фишинга и воровства вашего контента поможет «Мониторинг бренда» — сервис позволяет быстро отслеживать название вашего коммерческого обозначения в чужих доменных именах и сообщает о совпадениях. Так вы сможете вовремя находить сайты, использующие ваш бренд в мошеннических целях. 

«Мониторинг бренда» защищает:

• от фишинга,
• переманивания клиентов,
• подделки ваших товаров,
• мошеннических схем,
• киберсквоттинга,
• воровства контента.

Данные об упоминаемости во всех доменных зонах обновляются ежедневно, а список можно выгружать в Excel. Подробнее о других возможностях сервиса и подключении можно прочитать на странице сервиса «Мониторинг бренда».

Как не попасться на фишинг. Меры безопасности в компании

1. Самое, на наш взгляд, важное: относитесь к кибератакам серьёзно сами и научите этому всех ваших сотрудников.
2. Используйте для аккаунтов компании только двухфакторную аутентификацию. Это метод идентификации пользователя по двум типам параметров. Например, сначала нужно ввести логин и пароль, а после — код из СМС или электронной почты. Реже — биометрические данные или специальный USB-ключ.
3. Для особенно важных аккаунтов, например, для доступа в системы ЭДО и бухгалтерские программы используйте eToken — материально существующий защитный ключ.
4. Переведите ваш сайт на защищённый протокол: HTTPS. Лучше использовать платный SSL-сертификат, это минимизирует риски взлома. Подробнее о SSL-сертификатах мы писали в статье «Я занимаюсь бизнесом и совсем не понимаю, что такое SSL-сертификаты».
5. Когда заливаете контент на сайт или создаёте резервную копию данных сайта, используйте зашифрованный протокол SFTP вместо открытого FTP.
6. Удаляйте все неактуальные и неиспользуемые аккаунты.
7. Используйте сервисы для защиты бизнеса, о них мы говорили выше.
8. Регулярно обновляйте пароли от почтовых аккаунтов сотрудников, корпоративных аккаунтов.
9. Запретите сотрудникам держать пароли на виду.
10. Регулярно следите за бекапами всего вашего контента, особенно информации на сайте и в облачных хранилищах.
11. Моментально реагируйте даже на малейшие намёки на подозрительную активность: меняйте пароли, блокируйте мошенников и проводите глубокую антивирусную проверку.

Радикальные меры

Они подойдут далеко не всем, но успешно применяются некоторыми компаниями.

• Закрыть доступ к соцсетям на рабочих устройствах.
• Заблокировать все дисководы и USB-разъёмы рабочих компьютеров.

Что делать, если вы всё-таки попались

Итак, мошенники всё-таки убедили вас: вы попались на их удочку. Что вы можете сделать:

• Запустите проверку антивируса на компьютере и смартфоне.
• Как можно скорее смените украденный пароль. Если используете его для нескольких аккаунтов, поменяйте пароль и для них тоже.
• Настройте двухфакторную аутентификацию.
• Если сообщили данные своей карты или код из СМС, позвоните в банк по телефону, указанному на вашей карте. Её заблокируют, чтобы защитить от кражи денег, и проверят потенциально опасные операции.

Если хотите уберечь других пользователей от действий мошенников, сообщите об их действиях. Как это сделать:

• Напишите о злоумышленниках в Google и Яндекс.
• Найдите владельца хостинга с помощью сервиса WHOIS и сообщите о мошенничестве. 
• Найдите сайт, который скопировали злоумышленники, и напишите администраторам оригинального сайта через контакты на странице.
• Напишите в Роскомнадзор, МВД и другие государственные организации. Инструкции и ссылки можно найти на сайте Роскомнадзора. 

Правила для сотрудников: чек-лист

Советуем отправить и/или распечатать и раздать этот чек-лист всем сотрудникам вашей компании.

В первую очередь, защитите ваши соцсети

• Не переходите по подозрительным ссылкам.
• Не вводите данные от страницы на сторонних ресурсах.
• Не давайте ваш смартфон посторонним.

Общие правила

• Если в соцсети вам пишут с аккаунта банка или другой организации, проверьте аккаунт на официальном сайте или по телефону банка/компании. Если такого аккаунта там нет, не отвечайте на сообщения и заблокируйте подозрительный аккаунт.
• Не доверяйте в соцсетях тем, кто просит у вас деньги, даже если просьба пришла от вашего друга. Позвоните тому, с чьей страницы пришло сообщение, и уточните, действительно ли ему нужны деньги. Если нет — не отвечайте мошеннику, заблокируйте его и пожалуйтесь в службу безопасности соцсети.
• Проверяйте все файлы, которые приходят в личных сообщениях. Если прикреплена книга, но с расширением .exe, это странно — не открывайте файл.
• Периодически проверяйте, когда последний раз ваш аккаунт был активен. Если появились подозрения, завершите все активные сеансы и смените пароль.

«ВКонтакте»

• Прочитайте, как обезопасить аккаунт «ВКонтакте».
• Настройте двухфакторную аутентификацию.
• Если вас взломали, попробуйте восстановить доступ к странице.

Вы получили странное письмо 

• Не переходите по ссылкам в письмах от незнакомцев, не нажимайте на картинки и кнопки.
• Если отправитель представляется сотрудником компании, но пишет не с корпоративной почты, а с обычной, например, mail.ru или gmail.com, не открывайте письмо.
• Не верьте в обещания внезапных выигрышей и не попадайтесь на попытки вас запугать. 
• Не открывайте вложенные файлы из писем незнакомцев, как бы заманчиво они ни выглядели. Не скачивайте файлы типа *.exe, *.scr, *.bat, *.vbs.
• Увидели странный адрес в письме, например, с ошибкой в доменном имени, — удалите письмо.

Вам звонит странный человек

Он может представиться сотрудником банка, покупателем, который хочет приобрести вашу вещь по объявлению, представителем компании, сообщающим о крупном выигрыше и т. п. 

• Не сообщайте никому данные вашей банковской карты, особенно CVC-код, особенно по телефону незнакомцу.
• Если вам уже пришло СМС с кодом, не сообщайте его никому, особенно «сотруднику банка» — настоящие банковские служащие не будут спрашивать у вас такие данные.
• Закончите разговор. Если человек представился сотрудником банка, позвоните в ваш банк, обрисуйте ситуацию и сообщите телефонный номер мошенника для проверки.

Вы попали на подозрительный сайт

• Не переходите по ссылкам, не нажимайте на подозрительные и кричащие картинки и кнопки.
• Не верьте обещаниям внезапных выигрышей и не попадайтесь на попытки вас запугать.
• Если сайт неопрятный, кричащий, с грубыми ошибками в текстах и большим количеством уведомлений, всплывающих окон и призывов перейти или оставить данные, скорее всего, сайт фишинговый. Закройте вкладку и не возвращайтесь на него.
• Прежде чем ввести свои данные на сайте, убедитесь, что это нужный сайт: клоны иногда выглядят очень похожими на оригинал. Проверьте адрес несколько раз. Если что-то в нём вас смущает — закройте вкладку.
• Регистрируйтесь и покупайте только на сайтах с SSL-сертификатами безопасности и двухфакторной аутентификацией. Чтобы зайти в личный кабинет, вас проверят по двум параметрам: помимо логина и пароля у вас спросят, например, код из СМС.
• Если перед адресом сайта вы видите HTTP, а не HTTPS и ваш браузер сообщает о ненадёжности страницы — он прав. Сайты без SSL-сертификатов лучше обходить стороной.

Рекомендации не только для работы

• Не указывайте личную информацию в открытых источниках. Адреса, даты рождения, номера телефонов: ваши и членов вашей семьи. 

Почему: всё это может помочь мошенникам узнать пароль или секретное слово, взломать ваши аккаунты и получить доступ к деньгам и данным.

• Меняйте пароли не реже, чем раз в полгода. «Я вообще не меняю пароли, и меня ни разу не взломали. Зачем начинать?» — спросите вы, и это будет ошибка выжившего. 

Почему: так вы усложните работу преступникам, ведь никто не знает, когда на его деньги и данные может начаться охота.

• Не используйте одинаковые пароли для всех ваших аккаунтов. Не давайте мошенникам ключ от всех дверей.

Почему: мошенник, узнавший пароль от одного вашего аккаунта, сразу же попробует открыть этим ключом остальные ваши кабинеты — и он подойдёт. Не рискуйте всем и проявите фантазию, придумывая новые комбинации.

• Используйте режим инкогнито в браузере, когда работаете за чужим компьютером, заходите в свои аккаунты и вводите личную информацию. 

Почему: когда вы закроете вкладку браузера, ваши пароли и данные не сохранятся, а выход из всех аккаунтов произойдёт автоматически.

• Включите двухфакторную аутентификацию во всех ваших аккаунтах.

Почему: такой тип защиты надёжнее убережёт вас от атак мошенников — чтобы взломать ваш аккаунт, им придётся преодолеть двойной барьер. И это будет непросто.

• Установите антивирус на все ваши устройства.

Почему: осмотрительность — это хорошо, но техническая защита — ещё лучше.

Также о мошенничестве в интернете и защите бренда говорим с экспертом RU-CENTER Сергеем Горбуновым на нашем YouTube-канале.